Về một backdoor trong sinh khóa RSA tuân thủ điều kiện 'chặt' theo chuẩn FIPS 186-4

Bài viết trình bày đề xuất về một thuật toán sinh khóa RSA chứa backdoor tuân thủ điều kiện “chặt” về tham số khóa theo chuẩn FIPS 186-4 [1]. Thuật toán đề xuất dựa trên cơ sở thuật toán tìm số nguyên tố của John Gordon [2] để tạo số nguyên tố mạnh và tấn công phân tích nhân tử của Coppersmith [3] để giảm lượng thông tin backdoor cần nhúng.
Nội dung trích xuất từ tài liệu:
Về một backdoor trong sinh khóa RSA tuân thủ điều kiện “chặt” theo chuẩn FIPS 186-4 Nghiên cứu khoa học công nghệ<br /> <br /> VỀ MỘT BACKDOOR TRONG SINH KHÓA RSA TUÂN THỦ<br /> ĐIỀU KIỆN “CHẶT” THEO CHUẨN FIPS 186-4<br /> Lê Quang Huy*<br /> Tóm tắt: Bài báo trình bày đề xuất về một thuật toán sinh khóa RSA chứa<br /> backdoor tuân thủ điều kiện “chặt” về tham số khóa theo chuẩn FIPS 186-4 [1].<br /> Thuật toán đề xuất dựa trên cơ sở thuật toán tìm số nguyên tố của John Gordon [2]<br /> để tạo số nguyên tố mạnh và tấn công phân tích nhân tử của Coppersmith [3] để<br /> giảm lượng thông tin backdoor cần nhúng.<br /> Từ khóa: Mật mã, Sinh khóa, RSA, Backdoor.<br /> <br /> 1. ĐẶT VẤN ĐỀ<br /> Hiện nay, Backdoor trong các hệ mật mã được nghiên cứu và công bố rộng rãi.<br /> Backdoor trong các hệ mật được nghiên cứu chủ yếu tập trung vào phần sinh khóa (key<br /> generation) và phần mã mật (encryption). Tuy nhiên, các nghiên cứu đã công bố về<br /> backdoor đối với một hệ mật xác định chỉ đề xuất các giải pháp chung trên hệ mật đó chứ<br /> chưa đề xuất giải pháp tuân thủ một chuẩn nhất định. Với hệ mật RSA, nhiều tổ chức định<br /> chuẩn đã công bố các chuẩn ứng dụng trong thực tế. Do vậy, để các thuật toán backdoor<br /> cho hệ mật RSA có thể ứng dụng được trong thực tế cũng cần thỏa mãn một chuẩn nhất<br /> định. Hiện tại, chuẩn FIPS 186-4 về chữ ký số là chuẩn mới nhất có bao gồm hệ mật RSA,<br /> được nhiều nhà sản xuất các sản phẩm mật mã tuân thủ.<br /> Thuật toán sinh khóa chứa backdoor nhằm đảm bảo an ninh, an toàn cho cộng đồng. Đối<br /> tượng áp dụng là các module mật mã dạng hộp đen. Để có thể ứng dụng được vào các<br /> module mật mã dạng hộp đen hiện có, bài báo tập trung nghiên cứu các thuật toán sinh khóa<br /> RSA chứa backdoor và đề xuất một thuật toán sinh khóa RSA chứa backdoor mới tuân thủ<br /> điều kiện “chặt” về tham số khóa tại Appendix B.3.1. FIPS 186-4 [1]. Thực hiện mục tiêu<br /> trên, bài báo được tổ chức thành 4 phần: Mục 1 - Đặt vấn đề, nêu lên sự cần thiết nghiên<br /> cứu; Mục 2 - Các định nghĩa và cơ sở phục vụ cho việc phân tích backdoor; Mục 3 - Đề xuất<br /> backdoor mới; Mục 4 - Kết luận tóm tắt các kết quả nghiên cứu và hướng phát triển.<br /> 2. CÁC ĐỊNH NGHĨA VÀ CƠ SỞ<br /> 2.1. Thuật toán sinh khóa chứa backdoor<br /> Định nghĩa về thuật toán sinh khóa chứa backdoor và các thuộc tính có liên quan (tiêu<br /> chuẩn đánh giá) trình bày trong phần này sử dụng các kết quả trong [4].<br /> 2.1.1. Định nghĩa thuật toán sinh khóa chứa backdoor<br /> Ký hiệu G0, G1 lần lượt là thuật toán sinh khóa trung thực (chuẩn) và thuật toán sinh<br /> khóa chứa backdoor. Ký hiệu (kpriv , kpub) lần lượt là khóa riêng và khóa công khai được tạo<br /> bởi G0 hoặc G1. Ký hiệu kpub* là khóa công khai hoặc một phần của khóa công khai. Ký<br /> hiệu  là tham số an toàn của hệ mật. Ký hiệu B0 , B1 lần lượt là sản phẩm hộp đen được<br /> cài đặt thuật toán sinh khóa G0, G1. Ký hiệu R1 là thuật toán khôi phục cặp khóa được tạo<br /> bởi G1.<br /> Định nghĩa: Các cặp khóa được tạo ra bởi G1 là các cặp khóa chứa backdoor an toàn nếu<br /> G1 tạo ra cặp khóa (kpub, kpriv) với các thuộc tính sau được thỏa mãn:<br /> 1. Tính bảo mật:<br /> a) người thiết kế nhúng một phần khóa riêng vào trong khóa công khai tương ứng, kpub*<br /> = M ◦ E ◦ I (kpriv) (1)<br /> <br /> <br /> Tạp chí Nghiên cứu KH&CN quân sự, Số 52, 12 - 2017 131<br />  Công nghệ thông tin & Cơ sở toán học cho tin học<br /> <br /> b) Người dùng, kẻ tấn công không thể tính toán được khóa riêng từ khóa công khai<br /> tương ứng, kpriv ≠ I -1 ◦ E -1 ◦ M-1 (kpub) (2)<br /> 2. Tính hoàn chỉnh: Tồn tại thuật toán R1 , để người thiết kế có thể khôi phục được khóa<br /> riêng từ khóa công khai tương ứng, kpriv = R1(kpub). Hay các hàm M, E, I khả nghịch để<br /> người thiết kế tính được kpriv = I -1 ◦ E -1 ◦ M-1 (kpub) (3)<br /> 3. Khả năng ẩn giấu (khả năng không thể phân biệt được):<br /> a) Đầu ra của B0 và B1 không thể phân biệt được về thống kê hoặc về tính toán.<br /> b) Các đo đạc bên ngoài B0 và B1 không thể phân biệt được một cách rõ ràng.<br /> 2.1.2. Một số tiêu chuẩn đánh giá thuật toán sinh khóa chứa backdoor<br /> Các tiêu chuẩn đánh giá G1 (mục 5 trong [4]) được tóm tắt trong bảng sau:<br /> Bảng 1. Các tiêu chuẩn đánh giá thuật toán sinh khóa chứa backdoor.<br /> Đánh giá<br /> Tốt Trung bình Kém (thất bại)<br /> Tiêu chuẩn<br /> Bảo mật lE >= lG1 lG1 >= lE >= lG1 /2 lE < lG1 /2<br /> ∀ kpub kẻ tấn công kpriv ≠ ∃ kpub kẻ tấn công kpriv<br /> Hoàn chỉnh -<br /> F-1 (kpub) = F-1 (kpub)<br /> Lực lượng khóa c >= - ½ -1/2 > c >= -3/2 c < -3/2<br /> Tính phân phối D G1 ≈ 0 D G1 ≈ 0 D G1 > 0<br /> ...